Poradnik Przedsiębiorcy

Inspektor danych osobowych (IOD) - jego rola i zadania

RODO wskazuje wyraźnie, że w monitorowaniu wewnętrznego przestrzegania przepisów związanych z ochroną danych osobowych, administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą fachową wiedzą na temat prawa i praktyk w dziedzinie ochrony danych. Taką osobą w świetle obowiązującego prawa jest inspektor danych osobowych (IOD). Nie każdy przedsiębiorca musi go powoływać. Jednak w przypadku niewyznaczenia takiej osoby, bierze on na siebie sporą część obowiązków IOD, gdyż konieczność utrzymania wysokiego poziomu ochrony jest stała i bezwarunkowa. Dlatego warto mieć świadomość tego, jakie konkretnie zadania spoczywają na IOD.

Inspektor danych osobowych - kto może nim zostać?

Inspektorem ochrony danych może zostać osoba posiadająca odpowiednie kwalifikacje zawodowe, a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań narzuconych przez przepisy prawa. Nie ma regulacji prawnych wskazujących, w jaki sposób administrator danych osobowych powinien zweryfikować poziom wspomnianych kwalifikacji i wiedzy. Aby nie narazić się na zarzut zatrudnienia niewłaściwej osoby, należałoby wyznaczyć taką, która:

  • ma udokumentowany przebieg kariery zawodowej związanej z tematyką ochrony danych osobowych, najlepiej gdyby pełniła wcześniej funkcję inspektora ochrony danych lub administratora bezpieczeństwa informacji (uwaga: funkcja ABI została zastąpiona funkcją IOD dopiero w maju 2018 r.);

  • ma kierunkowe wykształcenie – najlepiej związane z prawem, bezpieczeństwem czy administracją o specjalności ochrony danych osobowych;

  • ukończyła kursy i szkolenia związane z ochroną danych osobowych.

Najlepiej, gdy kandydat do pełnienia funkcji IOD spełnia wszystkie powyższe wymogi, ale nic nie stoi na przeszkodzie, by zatrudnić osobę spełniającą chociażby jeden z przedstawionych warunków. Trzeba jednak wziąć pod uwagę, że w ostatnim czasie, z powodu dużego zainteresowania tematyką ochrony danych osobowych, pojawiło się wiele podmiotów oferujących szkolenia i studia podyplomowe o bardzo niskim poziomie. Z tego powodu warto, co do niektórych kandydatów, przeprowadzić dodatkowe testy czy rozmowę, weryfikujące poziom posiadanej wiedzy.

Zadania inspektora ochrony danych – informowanie

Zgodnie z RODO do zadań IOD należy informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach.

Informowanie jest jednym z głównych obowiązków IOD. Należy zaznaczyć, że zakres przekazywanych informacji jest znacznie szerszy niż tylko regulacje wynikające wprost z RODO. Inspektor musi posiadać dogłębną wiedzę o branżowych regulacjach, które chociażby w minimalnym zakresie wiążą się z przetwarzaniem danych osobowych. Kanał czy sposób przekazywania tych informacji nie jest w żaden sposób dookreślony. Istotne, by proces ten nie był niczym zakłócony. Aby tak się stało, inspektor danych osobowych powinien mieć bezpośredni kontakt z administratorem. Przekazywanie informacji pracownikom powinno odbywać się w trakcie bieżących kontaktów roboczych oraz wszelkiego rodzaju interakcji zainicjowanych przez IOD lub pracowników.

Zadania inspektora ochrony danych – monitorowanie i szkolenie

Kolejnym z podstawowych obowiązków IOD jest monitorowanie przestrzegania przepisów RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. 

Rolą inspektora danych osobowych jest ciągłe podnoszenie świadomości i kompetencji pracowników. Najczęściej stosowanym i najskuteczniejszym sposobem osiągnięcia tego celu są różnego rodzaju szkolenia dla poszczególnych grup pracowników. Szkolenia, ich zakres oraz listy obecności osób biorących w nich udział powinny być starannie dokumentowane i przechowywane. Ich forma powinna być adekwatna do potrzeb i liczby pracowników. Na przykład w niewielkiej firmie zatrudniającej kilkanaście osób najlepszą formą będzie szkolenie bezpośrednie, przeprowadzone przez IOD. W większych firmach, w których zorganizowanie szkolenia stacjonarnego będzie trudne, można posłużyć się metodą e-learningu. Możliwe jest też podzielenie pracowników na tych, których praca w sposób znaczący opiera się na przetwarzaniu danych osobowych i tych, którzy mają sporadyczny kontakt z danymi osobowymi. Pierwsza grupa powinna mieć zapewniony bardziej intensywny system szkoleń, podczas gdy pracownikom z drugiej grupy wystarczy zapewnić dostęp do informacji bardziej ogólnych, które wystarczą im do realizowania swoich codziennych obowiązków.

Samo monitorowanie jest czynnością nieco bardziej wymagającą, gdyż powinno opierać się na precyzyjnie określonych sposobach postępowania i powtarzalnych czynnościach. Powinny być one wykonane rzetelnie, z dużą wnikliwością, ponieważ skutkiem niewłaściwie przeprowadzonego sprawdzenia może być niewykrycie nieprawidłowości w zakresie ochrony danych osobowych, a w dalszej kolejności kosztowne konsekwencje.

Ponieważ, podobnie jak w odniesieniu do innych obowiązków IOD, nie ma precyzyjnych wytycznych, jak powinien wyglądać proces monitorowania, można opierać się na dotychczasowych dobrych praktykach realizowanych na gruncie poprzednich regulacji prawnych. Proces ten może przybrać następującą postać:

  • wstępne sprawdzenie systemu ochrony danych;

  • sporządzenie planu dalszych sprawdzeń;

  • przygotowanie list kontrolnych pomocnych przy realizacji sprawdzeń;

  • przeprowadzenie sprawdzeń;

  • przygotowanie sprawozdania ze sprawdzeń;

Wstępne sprawdzenie systemu ochrony danych ma na celu przede wszystkim identyfikację procesów przetwarzania danych osobowych. Czynność ta jest niezbędna, nawet jeśli osoba pełniąca funkcję IOD była wcześniej pracownikiem administratora danych. Praktycznie nie jest możliwe, by którykolwiek z pracowników miał pełną wiedzę o wszystkich procesach przetwarzania.

Plan dalszych sprawdzeń powinien określać przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. Inspektor danych osobowych powinien uwzględnić w planie w szczególności czynności przetwarzania, zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych osobowych. 

Przygotowanie narzędzi pomocnych przy sprawdzeniu jest bardzo ważną czynnością, której nie można pominąć, jeśli chcemy uwzględnić każdy istotny szczegół. Przygotowanie zestawu pytań, które trzeba zadać i punktów, które należy zweryfikować podczas sprawdzenia jest czasochłonne, jednak raz przygotowaną listę można użyć wielokrotnie, poddając ją każdorazowo niewielkiej modyfikacji. 

Samo przeprowadzenie sprawdzenia jest kluczowym elementem, jeśli chodzi o kontrolę zgodności przetwarzania danych osobowych z prawem oraz dokumentami wewnętrznymi określającymi zasady ochrony danych osobowych (np. takim dokumentem może być polityka bezpieczeństwa danych osobowych). Wykorzystuje się do tego celu różne metody, wśród których najistotniejsze to kontrola prawidłowości stosowanej dokumentacji, kontrola systemów informatycznych, wizja lokalna w obszarach przetwarzania danych czy w końcu wywiad osobowy z pracownikami mającymi w swoich kompetencjach przetwarzanie danych osobowych.

Każde sprawdzenie powinno być zakończone sprawozdaniem, w którym należy opisać podjęte w toku sprawdzenia czynności, a następnie wskazać wykryte nieprawidłowości. 

Przykład 1.

Przykładem nieprawidłowości wykrytych przez IOD podczas sprawdzenia może być:

  • niestosowanie się przez pracowników do zasady czystego biurka wykryte podczas wizji lokalnej;

  • nierzetelne wykonywanie obowiązku informacyjnego wobec klientów wykryte podczas kontroli dokumentacji;

  • brak wiedzy pracownika o procedurach organizacyjnych ochrony danych osobowych zawartych w polityce bezpieczeństwa danych osobowych wykryty podczas wywiadu osobowego;

  • słabość systemu informatycznego w postaci braku aktualnego zabezpieczenia antywirusowego wykryta podczas sprawdzenia systemu informatycznego.

Ważnym punktem sprawozdania są wnioski, w których należy zawrzeć rekomendacje pozwalające na zwiększenie efektywności systemu ochrony danych osobowych. Inspektor danych osobowych powinien sprawozdanie przedłożyć administratorowi danych. Oczywiście po zakończeniu sprawdzenia cały cykl rozpoczyna się od nowa. Praca IOD polega na ciągłym kontrolowaniu i doskonaleniu procesu ochrony danych osobowych.

Inne zadania inspektora ochrony danych

Przedstawione powyżej zadania IOD dotyczące informowania, szkolenia i monitorowania to nie jedyne obowiązki. Inspektor danych osobowych powinien udzielić na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorować jej wykonanie. Zgodnie z RODO ocena skutków dla ochrony danych jest wymagana jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Ponadto inspektor danych osobowych jest odpowiedzialny za współpracę z organem nadzorczym. Jej zakres nie został określony, więc domniemywa się, że może ona mieć charakter wielowątkowy. W kontaktach tych inicjatorem będzie Prezes Urzędu Ochrony Danych Osobowych. inspektor danych osobowych jest również punktem kontaktowym dla organu nadzorczego w kwestiach związanych z uprzednim konsultacjami i wszelkich innych sprawach.

Na zakończenie trzeba dodać, że omówione powyżej zadania zostały przypisane w RODO bezpośrednio inspektorowi ochrony danych. W praktyce IOD ma znacznie szerszy katalog obowiązków, gdyż w sposób naturalny odpowiada za część zadań narzuconych na administratora danych. Inspektor danych osobowych jako najbardziej kompetentna osoba w zakresie ochrony danych osobowych, będzie brał udział w wielu innych czynnościach, np. opracowaniu analizy ryzyka czy wewnętrznej procedury ochrony danych osobowych.